昨天还在跟同事聊,说 Anthropic 这家公司的安全意识挺强的,毕竟天天把"AI 安全"挂在嘴边。
结果一下就被打脸了。
Claude Code 的完整源代码,在 npm 上裸奔了。
不是几行,是整整 51.2 万行 TypeScript 代码,1900 多个文件,全须全尾地躺在那里,谁都能下载。
一个实习生都不会犯的错误
事情是这样的。
安全研究员 Chaofan Shou 在 X 上发了一条推文,附了个下载链接。点进去一看,好家伙,Anthropic 的当家产品 Claude Code 的源码压缩包。
几个小时之内,这条推文的浏览量冲到了 530 万。
评论区有人喊:"快给 Dario 打电话!"(Dario Amodei 是 Anthropic 的 CEO)。还有人直接爆了粗口。
更绝的是,有个叫 @realsigridjin 的开发者,手速贼快,立马把代码备份到了 GitHub,仓库名叫 instructkr/claude-code,标注为"研究用途"。
等 Anthropic 反应过来,紧急删包、发新版,已经晚了。
GitHub 上的星星早就破千,代码在互联网上永久存档。
怎么泄露的?说出来你都想笑。
他们往 npm 发包的时候,忘了删 .map 文件。
做过前端或者 Node.js 开发的朋友都知道,.map 文件(Source Map)是干嘛的------就是把压缩后的代码映射回原始源码,方便本地调试。
这玩意儿在正式发布时是必须删掉的,基本操作,写在每个新手教程的第一页。
结果 Anthropic 这种估值 180 多亿美元的 AI 独角兽,居然在这个环节翻了车。
而且这不是第一次。2025 年 2 月,他们就因为同样的问题泄露过早期版本的代码。
同一个坑,摔两次。
代码里藏着什么?
如果只是普通的业务代码泄露,顶多算个安全事故。
但开发者们下载完源码一看,直接炸了。
这哪是什么简单的 API 封装?这是一个完整的 AI Agent 操作系统。
40 多个工具模块
从文件读写、Bash 命令执行,到 Web 搜索、子 Agent 生成,每个工具都有精细的权限控制和错误处理。
5 万行的"大脑"
单文件 QueryEngine.ts 就有近 5 万行代码,负责理解用户意图、规划执行路径,是整个系统的"中枢神经系统"。
多智能体协调器
支持并行任务处理,多个 Claude 实例可以分工合作、互相通信。
但这都不是最劲爆的。
真正让开发者们兴奋的是,代码里藏着一大堆从未公开的实验性功能。
赛博宠物、AI 做梦、卧底模式...
BUDDY:终端里的电子宠物
代码里有一套完整的"电子宠物"系统,类似当年的拓麻歌子(Tamagotchi)。
18 个物种、稀有度等级、闪光变种、属性统计(调试能力、耐心值、混乱度、智慧值)...
最骚的是,这个宠物是由 Claude 在第一次"孵化"时亲自撰写"灵魂描述"的。
有开发者已经跑通了截图,在终端里养起了自己的 AI 宠物。
KAIROS:永不下线的 AI 助手
这是一个常驻后台的守护进程模式。
Claude 会持续监视你的项目,记录操作日志,每天半夜还会自己"做梦"------把当天学到的东西整理成长期记忆。
触发条件也很讲究:距离上次做梦超过 24 小时、至少完成 5 次会话、获取到整合锁。
换句话说,这是一个有记忆的、真正"活"在你电脑里的 AI。
ULTRAPLAN:30 分钟的深度思考
遇到复杂任务,可以启动远程规划会话,调用 Opus 4.6 模型在云端容器里思考最多 30 分钟,然后"传送"结果回本地。
Undercover Mode:卧底模式
这个最讽刺。
代码里有个专门设计的子系统,当检测到是 Anthropic 员工(通过 USER_TYPE=ant 环境变量识别)在公共仓库操作时,会自动激活。
它会注入系统提示,禁止在提交记录里出现:内部模型代号(比如 Capybara、Tengu 这些动物名)、未发布的版本号、内部工具名、甚至禁止提及自己是 AI。
专门用来防止信息泄露的功能,结果整个系统自己被泄露了。
草台班子理论,再次被验证
说实话,看到这种新闻,我的心情挺复杂的。
一方面,Anthropic 的工程师是真的厉害。从代码质量、架构设计到那些充满想象力的实验功能,能看出这是一群真正懂 AI、爱 AI 的人。
40 多个工具模块的权限控制、近 5 万行推理引擎的思维链调度、多智能体的协同机制...这些工程细节,足够国内的 AI 团队学一阵子了。
但另一方面,他们的安全意识简直像个初创公司。
.npmignore 配置失误这种错误,实习生都不该犯。五天内两次重大泄露(3 月 26 日刚因为 CMS 配置错误泄露了 Claude Mythos 模型的信息),很难让人相信这是偶然。
更值得玩味的是时间点。
泄露发生在 3 月 31 日,愚人节前一天。代码里 BUDDY 系统的随机数种子盐值是 friend-2026-401,预告窗口是 4 月 1 日到 7 日。
有人怀疑这是精心策划的彩蛋营销。
但看看泄露的代码规模------51 万行,1900 个文件,工程细节之完整,不太像是临时编造的。
而且 Anthropic 最近的麻烦不止这一件:API 的 Token 消耗异常 Bug 还没修好,用户额度像漏水一样狂掉。
屋漏偏逢连夜雨。
对我们有什么影响?
先说结论:普通用户不用担心。
泄露的是 CLI 客户端的实现代码,不涉及用户数据,也不涉及 Claude 核心模型的权重。
但对开发者来说,这是一次意外的宝藏。
GitHub 上的镜像仓库已经星星过万,全球开发者都在研究这份"野生开源"的代码。Claude Code 的 Agent 架构、工具设计、提示词工程...这些原本属于商业机密的生产级实践,现在所有人都能学习。
某种程度上,这可能加速整个 AI Agent 赛道的技术迭代。
对 Anthropic 的竞争对手来说,这更是送上门的情报。Claude Code 为什么好用?它的 Agent harness 是怎么设计的?权限逻辑怎么做的?现在一目了然。
写在最后
这件事给我最大的感触是:
再厉害的 AI 公司,底层也是一群人在写代码。是人就会犯错,是代码就会有 bug。
Anthropic 一直给人一种"技术理想主义"的感觉,强调安全、对齐、负责任地开发 AI。但连续的安全失误,让这种形象打了折扣。
不过换个角度想,这次泄露反而让开发者们看到了 Anthropic 的野心------他们不只是在做一个"更好用的 Copilot",而是在构建一个完整的 AI 操作系统。
赛博宠物、会做梦的 AI、30 分钟的深度思考模式...这些功能如果正式发布,可能会重新定义"AI 编程助手"的边界。
只是没想到,是以这种方式提前曝光的。
世界确实是个巨大的草台班子。但有时候,草台班子的失误,反而让我们看到了幕后的精彩。